TECHin

Χάκερς χρησιμοποιούν το σήμα δημοφιλούς messenger για στοχευμένες επιθέσεις


Ενα κύμα στοχευμένων επιθέσεων ψηφιακής κατασκοπείας σε διπλωματικό οργανισμό της Κεντρικής Ασίας, με το trojan “Octopus” που χρησιμοποιεί τη μορφή διάσημου και νόμιμου online messenger, ανακάλυψαν οι ερευνητές της Kaspersky Lab.

Μόλις εγκατασταθεί το Octopus, παρέχει στους επιτιθέμενους απομακρυσμένη πρόσβαση στους υπολογιστές των θυμάτων.

Οι απειλητικοί φορείς αναζητούν συνεχώς εκμεταλλεύσιμες σύγχρονες τάσεις και προσαρμόζουν τις μεθόδους τους προκειμένου να θέσουν σε κίνδυνο την ιδιωτικότητα και τις ευαίσθητες πληροφορίες των χρηστών σε όλο τον κόσμο. Στην περίπτωση αυτή, η πιθανή απαγόρευση του ευρέως χρησιμοποιούμενου Telegram messenger επέτρεψε στους απειλητικούς παράγοντες να σχεδιάζουν επιθέσεις χρησιμοποιώντας το Octopus Trojan, παρέχοντας στους hackers απομακρυσμένη πρόσβαση στον υπολογιστή του θύματος.

Οι απειλητικοί φορείς διανέμουν το Octopus μέσα σε ένα αρχείο που μεταμφιέζεται ως εναλλακτική έκδοση του Telegram messenger για τα κόμματα της αντιπολίτευσης του Καζακστάν. Το launcher ήταν μεταμφιεσμένο σε ένα αναγνωρίσιμο σύμβολο ενός από τα κόμματα της αντιπολίτευσης του Καζακσταν και το Trojan ήταν κρυμμένο στο εσωτερικό του.

Μόλις ενεργοποιηθεί, το Trojan παρέχει στους επιτιθέμενους τη δυνατότητα να εκτελούν διάφορες λειτουργίες με τα δεδομένα των «μολυσμένων» υπολογιστών, συμπεριλαμβανομένων, μεταξύ άλλων, διαγραφής αρχείων, μπλοκ, τροποποιήσεων, αντιγραφής και λήψης. Έτσι, οι επιτιθέμενοι μπόρεσαν να κατασκοπεύσουν τα θύματα τους, να κλέψουν ευαίσθητα δεδομένα και να αποκτήσουν πρόσβαση στα συστήματα. Το πρόγραμμα έχει αρκετές ομοιότητες με μια περίφημη επιχείρηση ψηφιακής κατασκοπείας που ονομάζεται Zoo Park, όπου το κακόβουλο λογισμικό που χρησιμοποιείται για το APT μιμείται το Telegram messenger για την κατασκοπεία θυμάτων.

Χρησιμοποιώντας τον αλγόριθμο που αναγνωρίζει ομοιότητες στον κώδικα λογισμικών, οι ερευνητές ανακάλυψαν ότι το Octopus μπορεί να συνδέεται με την ομάδα DustSquad – ένας ρωσόφωνος απειλητικός φορέας που έχει ανιχνευτεί κατά το παρελθόν σε πρώην χώρες της ΕΣΣΔ στην Κεντρική Ασία, όπως και στο Αφγανιστάν από το 2014. Τα τελευταία δύο χρόνια οι ερευνητές ανίχνευσαν τέσσερις από τις εκστρατείες τους με αυτοσχέδια Android και Windows malware που απευθύνονταν τόσο σε ιδιώτες χρήστες όσο και σε διπλωματικά στελέχη.

«Έχουμε δει πολλούς από τους απειλητικούς φορείς να στοχοποιούν διπλωματικούς οργανισμούς στην Κεντρική Ασία το 2018. Η DustSquad έχει δουλέψει στην περιοχή για αρκετά χρόνια και μπορεί να είναι η ομάδα που κρύβεται πίσω από αυτήν την καινούρια απειλή. Δυστυχώς, το ενδιαφέρον για ψηφιακές επιθέσεις στη συγκεκριμένη περιοχή αυξάνεται συνεχώς. Με επιμονή συμβουλεύουμε τους οργανισμούς της περιοχής να ελέγχουν συνεχώς τα συστήματά τους για κενά ασφάλειας και να εκπαιδεύουν τους υπάλληλούς τους να κάνουν το ίδιο», δήλωσε ο Denis Legezo, ερευνητής της Kaspersky Lab.

Ακολουθήστε το Sofokleousin.gr στο Google News
και μάθετε πρώτοι όλες τις ειδήσεις
Σχετικά Άρθρα